Lemonduck

Microsoft advarer mot farlig skadevare som rammer både Windows og Linux

Lemonduck på ferde.

Microsoft rapporterer om ny skadevare som også omfatter Linux.
Microsoft rapporterer om ny skadevare som også omfatter Linux. (Illustrasjonsfoto: Noshad Ahmed/Pixabay )

Lemonduck på ferde.

Windows er fremdeles hovedarenaen hvor skadevare-kampene utkjempes, men en økende andel av de ondsinnede programmene sikter seg nå inn på andre plattformer. Nå har Microsoft kommet med en ny advarsel som også Linux-folket bør være oppmerksom på.

Lemonduck er navnet på en skadevare som havnet på Microsofts radar for alvor etter at den begynte å utvide funksjonaliteten sin kraftig den siste tiden.

Fjerner annen skadevare

Lemonduck dukket først opp i 2019 og ble opprinnelig brukt til hovedsakelig kryptovaluta-graving, men programvaren kan nå i tillegg stjele persondata, fjerne sikkerhetsmekanismer, plante bakdører og til å levere andre typer skadevare.

Programvaren har også en annen, snodig egenskap. Ifølge Microsoft er den nemlig i stand til å deaktivere annen «konkurrerende» skadevare på systemene den infiserer, og deretter fikse sikkerhetshullet den selv benyttet for å forhindre fremtidig infisering av annen skadevare.

Lemonduck sprer seg på flere ulike måter. Hovedmetodene innebærer bruk av implantater som sprer skadevaren til enheter innad i nettverket til organisasjoner, samt phishing-angrep via e-postkampanjer. USB-enheter er også blant spredningsmetodene.

– Straks den befinner seg på et system med en Outlook-postkasse forsøker Lemonduck å kjøre et skript som benytter seg av persondataene på enheten. Skriptet instruerer postkassen om å sende kopier av en phishing-melding og vedlegg til alle kontakter, skriver Microsoft.

Utnytter en rekke sikkerhetshull

Denne metoden gjør at sikkerhetsmekanismer som baserer seg på hvorvidt e-posten kommer fra en mistenkelig kilde, ikke vil ha noen effekt.

Skadevaren utnytter en rekke sikkerhetshull og svakheter i nettverkene til ofrene til den første infeksjonen. Ifølge Microsoft har bakmennene aktivt skannet både Windows- og Linux-enheter for svakheter i blant annet SMB-protokollen (server message block) og e-posttjenesten Microsoft Exchange, som begge har blitt utnyttet til flere andre typer angrep den siste tiden.

De mye omtalte Bluekeep- og Eternalblue-sårbarhetene skal også ha blitt utnyttet av Lemonduck-bakmennene, i tillegg til en rekke andre kjente og mindre kjente sårbarheter.

I begynnelsen skal de fleste infeksjonene ha funnet sted i Kina, men siden har skadevarens aktivitet spredd seg til mange andre land, inkludert europeiske nasjoner som Tyskland, Storbritannia og Frankrike. Det er uvisst i hvilken grad Norge er berørt.

Mer informasjon kan du finne i Microsofts blogginnlegg om Lemonduck-skadevaren.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen